Isolando redes Wi-Fi usando sub-redes VLAN através do pfSense + UDM-Pro e um pouco mais…

Posted on by Thiago Crepaldi

Uma rede doméstica típica é uma rede em que se algum de seus dispositivos estiver comprometido ou infectado com malware, o invasor é capaz de espalhar malware ou comprometer todos os outros dispositivos.

Você pode melhor proteger sua rede separando-a em sub-redes. Os dispositivos em uma sub-rede não têm acesso a outra sub-rede, portanto, o risco de um dispositivo comprometido é limitado a sub-rede em que ele está.

Existem muitas maneiras de segregar redes, mas neste post vamos focar em segregação através de VLANs Wi-Fi, que requer pfSense, um roteador gerenciado (Unifi Dream Machine Pro) e um Access Point (Unifi AP FlexHD). Este post é baseado em uma topologia de roteador em cascata. Para fins de demonstração, usaremos três redes Wi-Fi diferentes (Casa, Visitante e Sigilosa). Enquanto todas as três redes têm acesso à internet, nenhuma deles será capaz de acessar a outra. A rede Sigilosa usará uma conexão VPN como gateway, tornando seu tráfego criptografado para o resto do mundo. Também discutiremos sobre uma rede IoT (Internet das Coisas) que você pode criar na qual ela pode acessar a Internet, mas não a rede Casa ou, caso prefira, pode permitir acesso à sua Casa, mas bloquear acesso à Internet. As aplicações dependem do seu caso de uso/criatividade.

Requisitos

  • pfSense como roteador principal
    • 2 Porta físicas LAN
      • Um conectado à porta UDM-Pro e o outro ao AP
    • 1 porta física WAN conectada ao modem de Internet (ISP)
  • UDM-Pro como roteador secundário (em cascata – Daisy chained)
  • Unifi AP
    • Redes Wi-Fi Casa, Visitante e/ou Sigilosa

Nota sobre topologia (roteadores em cascata ou Daisy Chained)

Na minha configuração original, eu tinha o Unifi AP FlexHD conectado em uma porta UDM Pro LAN. Isso tem o benefício de que o controlador Unifi e o AP estejam na mesma rede, o que faz com que a solução Unifi funcione de maneira bem integrada e automática. No entanto, minhas conexões de Internet e VPN estão configuradas no roteador pfSense. Para permitir que as redes Wi-Fi sejam roteadas para diferentes pfSense com base em sub-redes VLAN, precisamos trafegar informações VLAN do AP através da porta WAN do UDM-PRO, o que não é suportado pelo UDM-Pro… Para superar mais uma limitação no UDM Pro, tive que mudar a topologia e movi o Unifi AP das portas LAN do UDM-Pro para uma segunda porta LAN no roteador pfSense. Isso criou problemas de conectividade entre o UDM-Pro e o Unifi AP (UDM Pro e AP estão em redes diferentes agora). A solução é abrir algumas portas no UDM-Pro para permitir o gerenciamento remoto.

Crie uma nova LAN no pfSense

No seu pfSense, vá para Interfaces >> Atribuições e em Portas de rede disponíveis selecione uma interface disponível e clique no botão Adicionar . Em seguida, clique na nova interface que foi criada e faça o seguinte:

  • Configuração geral
    • Habilitar interface: selecionado
    • Descrição: UNIFI_APs
    • Tipo de configuração do IPv4: IPv4 estático
  • Configuração estática iPv4
    • Endereço IPv4: 10.20.0.0/24

Deixe o resto como está e clique em Salvar e Aplicar alterações.

Servidor DHCP

Agora precisamos habilitar o serviço DHCP para a nova Interface. Navegue até Serviços >> Servidor DHCP >> UNIFI_APs (ou seja como você nomeou sua interface):

  • Opções gerais
    • Habilitado: verificado
    • Intervalo: 10.20.0.100 a 10.20.0.199
  • Servidores
    • Servidores DNS: 10.20.0.1
  • Outras opções
    • Nome de domínio: lan.domain.com
    • Servidor NTP 1: 10.20.0.1

Deixe o resto como está e pressione Salvar na parte inferior. Agora precisamos reservar um IP estático para o Unifi AP. Na parte inferior, clique em Adicionar e na seção Mapeamentos estáticos de DHCP:

  • Mapeamento estático do DHCP em LAN_UNIFI_AP
    • Endereço MAC: Seu endereço MAC AP Unifi
      • Deve haver um adesivo em seu AP com o MAC. Você também pode encontrá-lo na interface do usuário do Controlador Unifi através do Ícone de rede >> Dispositivos >> Seu_AP >> Detalhes .
    • Identificador de cliente: um nome amigável para o seu AP
    • Endereço IP: 10.20.0.2 ou qualquer coisa intuitiva
    • Hostname: Use sua imaginação

Finalize a reserva pressionando Salvar e Aplicar alterações.

Regras de firewall

Neste ponto, sua nova interface pode reconhecer o AP e atribuir um IP a ele, mas não há conectividade com a LAN/Internet. Precisamos ir em Firewall >> Regras >> UNIFI_APs e criar nossas regras para permitir o acesso à Internet e LAN. O que você pode fazer é duplicar todas as regras da LAN principal na mesma ordem e apenas substituir o campo Interface pela nova interface (de LAN para UNIFI_APs neste exemplo). No Abaixo vou criar uma regra básica abaixo apenas para ter um exemplo funcional. Pressione Adicionar e preencha como abaixo:

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: UNIFI_APs
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: UNIFI_APs
  • Destino
    • Destino: Qualquer
  • Opções extras
    • Descrição: Regra padrão que permite tudo

Finalize clicando em Salvar e Aplicar alterações. Você pode testar esta configuração conectando um laptop nesta porta física, verificando se o IP 10.20.0.100 foi atribuído e que a Internet está disponível.

Se você seguiu meu post pfBlockerNG sobre bloquear anúncios e quiser fazer o mesmo para a rede AP, você precisa de uma nova regra de firewall para isso. Duplique da LAN principal e altere a Interface para UNIFI_APs. Você também precisa ir em Firewall >> pfBlockerNG >> IP e na Configuração de Interface/Regras IP >> Regras de Firewall de Saída certifique-se de adicionar UNIFI_APs à lista. Você pode esperar uma hora para que a alteração faça efeito ou force a atualização de configurações no Firewall >> pfBlockerNG >> Atualização

Se você seguiu meu DNS de proteção anterior usando o post pfSense, você também precisa duplicar as regras de firewall da LAN principal que envolvam a porta 53 e 853.

NAT

Em um post anterior sobre a configuração de VPN no pfSense mencionei que deveríamos usar a Geração de regras híbridas de saída NAT para permitir que o pfSense crie regras NAT para as redes existentes enquanto você pode adicionar suas próprias regras. Se você fez isso, ótimo. Caso contrário, navegue até o Firewall >> NAT -> Saída e selecione Geração de regras híbridas de saída do NAT (Regras automáticas de saída NAT + abaixo). Pressione Salvar e Aplicar alterações.

Se você seguiu meu DNS de proteção anterior usando o post pfSense , você também precisa duplicar as regras do NAT da LAN principal que envolvam a porta 53.

Permitindo a adoção de dispositivos Unifi através da interface WAN do UDM Pro

Por padrão, o UDM Pro (e a maioria dos roteadores) não permitirá que o tráfego proveniente de WAN chegue na rede LAN. Isso causa problemas de conectividade com o AP Unifi na rede pfSense que precisa ser adotado pelo UDM Pro através da porta WAN. A solução é abrir algumas portas para que o AP possa se comunicar com o controlador Unifi, permitindo a adoção em uma rede diferente. Adaptei as instruções oficiais de como adotar controladores Unifi remotos para fazer funcionar.

Para que a adoção seja bem sucedida, precisamos configurar o serviço pfSense DNS Resolver para forçar a resolução do nome de host ‘unifi’ ao IP do controlador Unifi que reservamos no servidor DHCP nas etapas anteriores. Existem outros mecanismos de adoção, mas DNS é a forma mais simples para o pfSense, pois ele executa seu próprio serviço DNS. No seu pfSense, navegue até Serviços >> DNS Resolver, role até Substituições de hosts e clique em Adicionar:

  • Opções de substituição do host
    • Host: unifi
    • Domínio: lan.domain.com
    • Endereço IP: 10.0.0.2
    • Descrição: Nome do host de unifi estático para permitir a adoção

Finalize a substituição pressionando Salvar e Aplicar alterações.

Agora, a Unifi sabe onde encontrar seu Controlador Unifi. mas ainda precisamos abrir portas UDM-Pro para comunicação. Vá para a interface web UDM Pro, selecione o aplicativo Rede , navegue até Configurações >> Segurança da Internet >> Firewall, role até Grupos e clique em Criar novo grupo que armazenará todas as portas que precisam ser abertas:

  • Nome: Grupo portuário de adoção de dispositivos unifi
  • Tipo: Grupo de portas
  • Porta: 22, 8080, 3478, 80, 443

Confirme pressionando Aplicar. Em seguida, crie um novo grupo com a sub-rede UNIFI_APs:

  • Nome: Rede UNIFI AP
  • Tipo: Endereço/sub-rede IPv4
  • Endereço: 10.20.0.0/24

Confirme pressionando Aplicar novamente e crie um terceiro grupo com o IP do controlador Unifi:

  • Nome: IP do controlador Unifi
  • Tipo: Endereço/sub-rede IPv4
  • Endereço: 10.0.0.2

Com todos os 3 grupos criados, role até Regras e clique em Criar uma nova regra para fazer como abaixo:

  • Geral
    • Tipo: WAN local
    • Descrição: Permitir a adoção de dispositivos Unifi através do WAN
    • Habilitado: selecionado
    • Regra aplicada: Antes das regras predefinidas
    • Ação: Aceitar
    • Protocolo IPv4: TCP e UDP
      • estritamente falando 3478/UDP e 22.80.443.8080/TCP são a seleção mínima, mas estou permitindo TCP e UDP para todas as portas listadas para simplicidade
  • Origem
    • Tipo de origem: Endereço/grupo de portas
    • Endereço de grupo IPv4: Selecione a rede UNIFI AP
    • Grupo de porta: Selecione Qualquer
  • Destino
    • Tipo de destino: Grupo endereço/porta
    • Endereço de grupo IPv4: Selecione IP do controlador Unifi
    • Grupo de porta: Selecione grupo de porta de adoção de dispositivos Unifi

Clique em Aplicar e todas as portas TCP/UDP necessárias para comunicação com a rede Unifi AP em direção ao controlador serão abertas.

(Re)configurando o AP Unifi

Se o seu AP já foi adotado pelo controlador, você precisa movê-lo para a nova porta LAN do pfSense e tudo deve funcionar. Se isso não acontecer, sugiro que você redefina as configurações do Unifi AP, remova-o do controlador Unifi e inicie o processo de adoção novamente. Um teste rápido antes de redefinir a configuração é conectar via SSH no Unifi AP e, a partir daí, tente conectar via SSH no Controlador Unifi. Se todas as regras de firewall foram criadas corretamente, você deve ser capaz de se conectar ao controlador a partir do AP. Consulte o guia de solução de problemas da Unifi se você ficar preso nesta etapa e não puder adotar o AP, mesmo tendo conectividade.

Configurar sub-redes Wi-Fi VLAN no UDM-Pro

Todas as etapas anteriores completam a configuração para implementar a mudança de topologia. Neste ponto, você deve ter 1) Unifi AP e Controlador com conectividade, apesar de estarem em diferentes redes, 2) os APs devidamente adotado pelo Controlador e 3) pelo menos uma rede WiFi (Casa) funcionando, que não usará VLAN e, portanto, sua configuração não será modificada.

O próximo passo é configurar VLANs para as outras redes WiFi. Estou assumindo que você deseja modificar suas redes Wireless existentes (Visitante e, opcionalmente, Sigilosa), mas criar novas redes Wi-Fi são discutidos nesse post. No UDM-Pro e usando uma rede diferente (como Wi-Fi Casa ou uma conexão com fio) do Wi-Fi que você modificará (Visitante nesse caso).

Recomendo o uso de uma VLAN entre 2 e 254, para que possamos usar VLAN ID como parte do terceiro octeto IP. Por exemplo, assumindo que as VLANs serão criadas na rede 10.20.0.0/24, para um VLAN ID 100, podemos ter 10.20.100.0/24 como a rede VLAN, o que ajuda a identificar conexões em análises futuras.

Vá para Configurações >> Wi-Fi >> Redes Wi-Fi e clique em Editar para modificar o Wi-Fi Visitante existente:

  • Diversos
    • Use um VLAN: selecionado
    • VLAN ID: 100

Clique em Aplicar alterações. A rede Wi-Fi Visitante está agora configurada com o VLAN. Essa mudança causará problemas temporários de conectividade. Precisamos configurar o pfSense para usar a mesma VLAN antes que as coisas comecem a funcionar novamente.

Configurar sub-redes Wi-Fi VLAN no pfSense

Anteriormente, você criou uma nova interface para o AP Unifi para se comunicar com o Controlador Unifi. Agora você precisa passar por um processo semelhante para criar uma interface para cada Wi-Fi VLAN na mesma interface física UNIFI_APs.

No seu pfSense, vá para Interfaces >> Atribuições >> VLANs, clique em Adicionar e faça o seguinte para o VLAN convidado :

  • Configuração VLAN
    • Interface Pai: Selecione a interface criada para o UNIFI_APs
    • VLAN Tag: 100
    • Descrição: VLAN 100 – Visitante

Pressione Salvar e Aplicar alterações. Agora vá para Interfaces >> Atribuições >> Atribuições de Interface e clique em Adicionar uma nova interface com o recém-criado VLAN:

  • Configuração geral
    • Habilitar interface: selecionado
    • Descrição: Qualquer nome intuitivo, como UNIFI_APs_VLAN100
    • Tipo de configuração do IPv4: IPv4 estática
  • Configuração estática iPv4
    • Endereço IPv4: 20.10.100./24

Clique em Salvar e Aplicar alterações. Como antes, o próximo passo é configurar o DHCP para a nova interface. Navegue até Serviços >> Servidor DHCP >> UNIFI_APs_VLAN100 (ou seja como você nomeou sua interface):

  • Opções gerais
    • Habilitado: selecionado
    • Intervalo: 10.20.100.100 a 10.20.100.199
  • Servidores
    • Servidores DNS: 10.20.100.1
  • Outras opções
    • Nome de domínio: lan.domain.com
    • Servidor NTP 1: 10.20.100.1

Deixe o resto como está e pressione Salvar na parte inferior. Como antes, o próximo passo é criar regras de firewall para permitir o tráfego na internet. Como discutido anteriormente, você pode duplicar cada regra da interface LAN principal se tiver material pfBlockerNG e/ou DNS. Mas também adicionaremos uma nova regra para permitir o acesso somente à Internet.

Primeiro criaremos um IP de Aliases firewall para definir como as redes LAN podem ser e, em seguida, usar essa definição para limitar a conectividade na rede Guest . No seu pfSense, vá para Firewall >> Aliases, clique em Adicionar e faça o seguinte:

  • Propriedades
    • Nome: RFC1918 ou Private_IPv4s
    • Descrição: Todas as redes privadas IPv4
    • Tipo: Redes
  • Rede(s)
    • 10.0.0.0/8
    • 172.16.0.0/12
    • 192.168.0.0/16

Pressione Salvar e Aplicar Alterações para criar o Alias que será usado pela nova regra de firewall. O alias será criado uma vez e será usado por muitas regras de firewall (no caso de você estar repetindo esses passos para Visitante, Sigilosa, IoT, etc). Vá para Firewall >> Regras e pressione Adicionar

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: UNIFI_APs_VLAN100
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: UNIFI_APs_VLAN100
  • Destino
    • Sel. invertida: selecionado
    • Destino: Único host ou alias
    • Endereço de destino: RFC1918 ou Private_IPv4s
  • Opções extras
    • Descrição: Padrão permite regra somente da Internet

Finalize clicando em Salvar e Aplicar alterações. Agora, sua rede Wi-Fi Visitante tem acesso à internet, mas não pode acessar a rede Casa Wi-Fi, pois eles estão redes diferentes e restringimos a regra de firewall para permitir conexões que não estão destinadas a endereços LAN.

Como discutido durante Configuração NAT do UNIFI_APs, se você seguiu meu outro post protegendo o serviço DNS usando pfSense, você também precisa duplicar as regras NAT da interface LAN que envolvem a porta 53.

VLANs e além…

Depois de seguir este longo post, você foi capaz de criar uma nova sub-rede Visitante em seu Wi-Fi usando VLANs, que é completamente isolada da rede Casa e da rede com fio. Sejamos honestos, existem maneiras mais fáceis de aplicar políticas de acesso de visitantes usando o controlador Unifi apenas sem usar pfSense e/ou VLAN, mas preferimos o melhor, não o mais fácil 🙂

Usando a conexão do cliente VPN como gateway

Uma das razões pelas quais escrevi este post foi para mostrar como usar esses conceitos e técnicas para criar redes Wi-Fi sigilosas que não só não têm acesso à rede Casa, mas também usam uma conexão VPN como gateway padrão. A rede Wi-Fi Sigilosa funciona lado a lado com as outras redes Wi-Fi (Casa e Visitante), mas além de isolada, é completamente anônima. Esta abordagem é poderosa, pois posso selecionar qual tráfego deve ser protegido (e potencialmente mais lento devido às limitações de largura de banda das VPN) e quando usar conexão do provedor (potencialmente mais rápida) nas outras redes Wi-Fi.

Para implementar a rede Sigilosa, repita as etapas anteriores e crie uma nova rede Wi-Fi em seu UDM-Pro, defina uma VLAN e, no seu pfSense, crie uma interface VLAN com o mesmo ID, configure as regras de servidor DHCP, DNS, NAT e Firewall. Teste a conectividade com a internet antes de fazer alterações que permitirão conexões com clientes VPN como gateway e/ou outras restrições.

A diferença entre o Wi-Fi Casa e Visitante é que ele usa uma conexão VPN como gateway. Para isso, no pfSense, vá para Firewall >> Regras e pressione Editar em Regra padrão que permite acesso somente a Internet:

  • Opções extras
    • Opções avançadas
      • Display Avançado

Pressione Salvar e Aplicar Alterações e pronto.

Isolando IoT

Todos nós temos dispositivos IoT que raramente são atualizados, representando uma enorme ameaça à sua rede doméstica, mesmo que seus roteadores, switches, laptops, telefones e tablets estejam atualizados. Esses dispositivos podem ser categorizados em 2 tipos:

  1. Dispositivos IoT que precisam de Internet para funcionar, mas não interagem com sua rede
    • Exemplos são o Google home, dispositivos inteligentes como geladeira, fechaduras, etc.
  2. Dispositivos IoT que não precisam de Internet, mas precisam estar disponíveis em sua rede
    • Exemplos são câmeras de vigilância. Eles geralmente são acessados pelo Wi-Fi da sua casa para gravação, mas você não quer que eles transmitam sua vida online. E se quiser, prefira usar um servidor VPN para acesso remoto das câmeras

Isolando IoT de sua casa

Para dispositivos do tipo 1), é melhor permitir que os dispositivos IoT se conectem à internet e façam suas coisas, mas isole-os da sua rede doméstica.

Isso é exatamente o que já fizemos para a rede Visitante, então apenas repita os passos anteriores para a IoT e já era!

Isolando IoT da Internet

Para dispositivos tipo 2), por outro lado, podemos usar o VLAN ID 50 e começar repetindo etapas anteriores para a IoT, mas depois modificar a regra de firewall para permitir conexões LAN apenas, bloqueando internet.

No pfSense, vá para Firewall >> Regras e pressione Editar em Regra padrão que permite acesso somente a Internet:

  • Editar regra de firewall
    • Ação: Liberar
    • Interface: UNIFI_APs_VLAN500
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Origem: UNIFI_APs_VLAN500
  • Destino
    • Sel. invertida: desmarcado
    • Destino: Único host ou alias
    • Endereço de destino: RFC1918 ou Private_IPv4s
  • Opções extras
    • Descrição: Regra padrão que permite acesso somente a LAN

Pressione Salvar e Aplicar Alterações para completar.

Resumo

Durante essa jornada, atualizamos nossa rede física para colocar nosso Unifi AP mais próximo do pfSense, permitindo a integração da VLAN entre os dois.

Em seguida, concluímos que não precisamos fazer alterações na rede Wi-Fi Casa , pois queremos que ela esteja no mesmo domínio que o resto de seus dispositivos com fio

A seguir, configuramos uma rede Wi-Fi Visitante para ter acesso à Internet mas isolada da rede Casa.

Também discutimos sobre uma rede Wi-Fi criptografada Sigilosa que está isolada da Casa e que tem uma conexão VPN como gateway, adicionando uma camada de privacidade quando você deseja visitar sites suspeitos.

Finalmente, cobrimos duas variações de redes Wi-Fi IoT que ou têm acesso à Internet, mas sem acesso à rede local ou o contrário, ou seja, sem conectividade de Internet, mas acesso à Casa.

Espero que tenham gostado…

Deixe uma resposta